Cyber Security and Digital Protection

La practice Cyber Security and Digital Protection conta circa 150 consulenti specializzati nel fornire servizi finalizzati ad incrementare la digital-trust delle aziende, abilitandone la trasformazione e l’adozione delle tecnologie digitali innovative a fronte dei rischi Cyber emergenti.

 

Il team Cyber Security and Digital Protection supporta i clienti dalla definizione della strategia di Cyber Security fino alla gestione delle Security Operations, attraverso l’implementazione del principio di Security By Design trasversalmente alle dimensioni People, Process e Technology.  

Service & Capabilities

  • Il team EY di Strategy, Risk, Compliance & Resilience è dotato di un mix professionisti composto da competenze multi-disciplinari per garantire un supporto puntuale alle realtà Clienti con l’obiettivo di comprendere e valutare nella propria interezza la cyber security posture aziendale ed supportare nella definizione di strategie ed azioni atte a mitigare i potenziali cyber risk a cui le stesse sono esposte.

    Il nostro Team SRC&R aiuta i Clienti a valutare l'efficacia e l'efficienza dei presidi di sicurezza informatica e resilienza adottati e ad individuare le possibile aree di miglioramento, in ottica di crescita aziendale e adeguata definizione della vision strategica ed operativa.

    Difatti, le soluzioni da noi offerte si applicano in modo coerente ed efficace indipendentemente dall’ambiente su cui queste vengono applicate (ad es. Information Technology, Internet of Things, Operational Technology, Cloud, ecc).

    Inoltre, i servizi in ambito SRC&R sono totalmente integrabili con il set di servizi forniti dalla restante divisione Cyber Security & Digital Protection, offrendo così un programma customizzato e coerente in base a tutti i needs espressi dalle realtà Clienti.

    Attraverso tali servizi, il Cliente potrà:

    o   Ottenere un quadro chiaro dell'attuale posizione e capacità dei rischi Cyber, comprendendo effettivamente come, dove e perché investire nella gestione dei rischi informatici;

    o   Implementare ed mantenere una strategia ed un programma informatico globale che consenta un processo decisionale rigoroso e strutturato e un'analisi finanziaria dei rischi informatici;

    o   Raggiungere e sostenere i requisiti di conformità normativa come risultanza di una funzione di Cybersecurity funzionannte ed organizzata;

    o   Costruire e mantenere una cultura consapevole del rischio attraverso l'educazione e la consapevolezza per ridurre l'impatto dei comportamenti umani;

    o   Gestire un Programma di resilienza di fronte alle minacce informatiche in continua evoluzione e alle strategie di business digitale.

    Services & Capabilities

    ·        Strategy & Risk Management:  attraverso tale sub-service si propongo una serie di attività finalizzate al design, al mantenimento ed alla crescita delle strategie adottate in ambito Cybersecurity e Risk Management. In particolare, possono essere fornite attività di Cybersecurity Assessment e definizione di  Roadmap evolutive/corretive, analisi e prioritizzazione dei progetti Cyber e supporto nell’allocazione dei costi rispetto alle iniziative, definizione delle metodologie e delle procedure di analisi dei rischi, Risk Assessment & Evaluation.

    ·        Business  Continuity & Resilience: si fornisce supporto nella definizione dei Business Continuity Model (BCM), attraverso l’analisi degli impatti sul business (BIA) e l’individuazione delle esigenze requisiti di recovery e ripristino (RTO/RPO), la valutazione dei processi e dell’infrastruttura IT e la definizione dei framework documentali di riferimento in linea con lo standard di riferimento ISO22301.

    ·        Cyber Due diligence: a fronte di operazioni societario condotte dai nostri Clienti, siamo in grado di supportarli nell’acquisizione, understanding e valutazione della posizione delle società-target in ambito cybersecurity, così da favorire la piena consapevolezza delle potenziali esposizioni, rischi e punti di forza correlati all’operazione societaria in corso e permettere l’adozione di scelte consapevoli e decisive.

    ·        CxO Reporting:  è un servizio estremamente customizzato tenuto conto delle esigenze rappresentate dai rank executive e C-levels di ottenere un numero di informazioni adeguato, sufficientemente dettagliato ma al contempo efficace per poter adottare le scelte migliori ed attuare le strategie aziendali nel rispetto delle iniziative e delle po0litiche adottate dalle proprie strutture e unità di riferimento.

    ·        Third Party Risk Management: aiutiamo le Organizzazioni a definire e monitorare rischio derivante da terze parti a bordo attraverso l’individuazione di specifici SLA e/o condizioni contrattuali all’interno della contrattualistica utilizzata, l’adozione di modelli di valutazione utilizzabili in tutte le fasi di gestione del contratto (dalla pre-contrattualizzazione ai fini di valutazione, agli audit di verifica sino al termine del rapporto contrattuale) e di definizione di processi e metodologie per una gestione consapevole dei Fornitori scelti.

    ·        Cyber Compliance: EY offre servizi di consulenza e di verifica sugli aspetti regolatori, normativi e per gli standard di settore che impattano direttamente i sistemi di elaborazione aziendale. I servizi offerti mirano a identificare e indirizzare tutte le azioni necessarie a garantire il rispetto di quanto richiesto dalle principali normative di settore nazionali e internazionali, inoltre, l’ampia gamma di servizi di cyber compliance di EY comprende anche il supporto per il raggiungimento della conformità ai principali standard di settore. Di seguito si riporta il dettaglio dei principali servizi offerti:

    ·        Compliance Normativa, i servizi hanno l’obiettivo di garantire il raggiungimento della conformità alle normative in ambito cyber a cui le aziende sono soggette, di seguito si riportano alcuni esempi dei principali servizi erogati:

    ·        Compliance in ambito Perimetro di Sicurezza Nazionale Cibernetica “PSNC”: attività di analisi del rischio e mappatura degli asset critici aziendali, assessment sulle misure di sicurezza in place, adeguamento dei processi aziendali sulla base di quanto richiesto dalla normativa (Procurement ICT, Gestione Incidenti, Vulnerability Assessment e Penetration Test);

    ·        Compliance GDPR: identificazione delle attività, adeguamento per la risoluzione delle criticità e prioritizzazione risk driven degli interventi necessari in una roadmap implementativa;

    ·        Compliance NIS: supporto alle organizzazioni nell’identificazione del perimetro tecnologico di applicabilità della Direttiva, identificazione, analisi e gestione dei rischi per la sicurezza IT;

    ·        Compliance agli standard di settore (ISO, NIST, ISAE, ISA, etc): EY eroga servizi di consulenza e supporto finalizzati al design e al implementing di processi aziendali conformi ai principali standard di settore, volti a migliorare la security posture aziendale e incrementare la security vision esterna della Società, necessari al conseguimento delle Certificazioni di compliance agli Standard;

    ·        Compliance Integrata: servizi volti alla definizione di un framework per una gestione integrata ed ottimizzata della compliance a normative e standard applicabili, in grado di razionalizzare le attività di assessment;

    ·        Multicompliance: servizi di supporto alla realizzazione di un cruscotto integrato di analisi e monitoraggio delle principali normative e dei principali standard adottati (Testo Unico 81/08, 262, d.lgs. 231/2001, PCI, Privacy, Corporate Information Security Policy, ISO 27001, OPDE Security Plan, ecc.).

    ·        ISO Certification: siamo in grado di supportare i nostri Clienti in quelle che sono le sfide legate all’adozione si Sistemi Normativi Integrati e programmi di certificazione rispetto a standard ISO selezionati. In particolare, teniamo il passo con le costanti evoluzioni del mondo ISO Certification, avendo sviluppato competenze in tutti i principali schemi di certificazione (ad es. 22301,27001 e famiglia 27000, 222371 etc.).

    ·        Altre certificazioni (Tisax, PCIDSS): in continuità con il punto 8, forniamo supporto nell’ottenimento di certificazioni mirate che impattano le singole realtà-clienti con l’obiettivo di aumentare il valore e la competitività dell’azienda sul mercato cercando di comprendere sempre di più le singole esigenze legate alle particolarità dei business seguiti.

    ·        Cyber Education & Awareness: molte delle iniziative core su cui siamo in grado di supportare sono legate alla diffusione e promozione di una cultura aziendale cyber. Per tale motivo, siamo in grado di promuovere iniziative di awareness & training customizzate sia in relazione ai contenuti sia in relazione alle modalità di erogazione dei corsi, fornendo quindi dei pacchetti estremamente customizzabili e che risultino poi efficaci rispetto alle esigenze ed ai livelli di maturità della popolazione target coinvolta.

     

EY Tech Stream

Direttiva NIS 2, come cambia la normativa europea sulla sicurezza informatica

Obblighi di governance, doveri di segnalazione, sicurezza della catena di approvvigionamento, divulgazione delle vulnerabilità dei sistemi e certificazioni obbligatorie di cybersecurity: le novità della NIS 2

Il rafforzamento della Cyber Security Resilience per le aziende nazionali fornitrici di Servizi Essenziali tramite l’istituzione del Perimetro di Sicurezza Nazionale Cibernetica

L’evoluzione dello scenario normativo in ambito di Cyber Security, definito dal Perimetro di Sicurezza Nazionale Cibernetica, impone il rispetto di una serie di requisiti da parte delle Organizzazioni impattate. Pertanto, è opportuno definire un approccio strutturato che garantisca la readiness dei soggetti coinvolti in tale ambito.